第7章网络安全课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,7.1 网络安全概述,7.2 数据加密技术,7.3 防火墙技术,第7章 网络安全,7.1 网络安全概述 第7章 网络安全,1,7.1,计算机,网络安全概述,7.1.1 网络安全的含义,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,广义上说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的所要研究的领域。,网络安全的核心是信息安全。,7.1 计算机网络安全概述 7.1.1 网络安全的含义,2,（,1,）保密性,：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。,（,2,）完整性,：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。,（,3,）可用性,：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。,（4）可控性,：对信息的传播及内容具有控制能力。,（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利,3,7.1.2 计算机网络面临的威胁,计算机网络上的通信面临威胁主要包括:,1.截获：攻击者从网络上窃听信息。,2.中断：攻击者有意中断网络上的通信。,3.篡改：攻击者有意篡改网络上的信息。,4.伪造：攻击者伪造信息在网络上传递。,上述的4种威胁可以分为两类：即,被动攻击和主动攻击。,其中,截获信息被称为被动攻击,，,攻击者只是被动地观察和分析信息，而不干扰信息流，一般用于对网络上传输的信息进行了解。,中断、篡改和伪造信息被称为主动攻击，,主动攻击对信息进行各种处理，如有选择地更改、删除或伪造等。,被动攻击是不容易检测出来的，一般可以采用加密的方法，使,攻击者不能识别网络中所传输的信息内容。对于主动攻击除了进行信,息加密以外，还应该采用鉴别等措施。,7.1.2 计算机网络面临的威胁 计算机网络,4,7.1.3 网络安全的标准,为了衡量网络的安全性，世界各国制订了很多的网络安全标准，最为著名的是美国国防部可信计算机系统标准评估准则（习惯称为橘皮书），,将多用户计算机系统的安全级别从低到高划分为四类七级，即D1、C1、C2、B1、B2、B3、A1。D级最低，A级最高。,（1）D1级，安全级别最低，为系统提供最小的安全保护。是一个没有任何保护措施的网络。如DOS、Window 3.x系统。,（2）C1级具备最低安全限度的等级，如Window 95/98.,(3)C2级是具备基本保护能力的等级，可以满足一般应用的安全要求，如Window 2000/NT、Netware基本属于这一级。,（4）B1级和B2级是具有中等安全保护能力的等级，基本可以满足一般的重要应用的安全要求。,（5）B2级和A1级属于最高安全等级，只有极其重要的应用才需要使用。,7.1.3 网络安全的标准 为了衡量网络的安,5,加密指改变数据的表现形式，以掩盖其真实含义，使得只有合法的接收方才能读懂。,数据加密、解密的过程如下所示：其中，“This is a book”称为,明文,；“!#$%&*()-”称为,密文,（ciphertext）。,将明文转换成密文的过程称为,加密,（encryption），从密文到明文的变换称为,解密,（decryption）。,7.2.1 数据加密技术,1.什么是加密？,加密指改变数据的表现形式，以掩盖其真实含义，,6,第7章网络安全课件,7,7.2 数据加密技术,数据加密技术分为两大类：对称密钥加密和非对称密钥加密。,1.对称,密钥加密,消息发送方和消息接收方必须使用相同的密钥，该密钥必须保密。,发送方用该密钥对待发消息进行加密，然后将消息传输至接收方，接收方再用相同的密钥对收到的消息进行解密。,对称密钥加密的特点是加密方法的安全性依赖于密钥的秘密性。如何就对称密钥从发送方传给接收方，是对称密钥机制自身无法解决的问题。,7.2 数据加密技术 数据加密技术分为两大类：,8,缺点：由于至少有两个人持有钥匙，所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者。,缺点：由于至少有两个人持有钥匙，所以任何一方都不能完全确定对,9,2.,非对称式加密（,公用密钥加密技术）,非对称加密：,给每一个用户分配一对密钥，一个是私有密钥，另一个是公共密钥。,通常，,将其中的一个钥匙称为私钥，由个人妥善收藏，不外泄于人，与之成对的另一把钥匙称为公钥，公钥可以像电话号码一样被公之于众。,用公共密钥加密的消息只有使用相应的私有密钥才能解密，也就是说消息发送方使用消息接收方的公共密钥来加密待发消息，消息接收方使用自己的私有密钥进行解密，这将保证只有指定的收件人才能解密。,2.非对称式加密（公用密钥加密技术）非对称加密：给每一个用,10,假如X需要传送数据给A，X可将数据用A的公钥加密后再传给A，A收到后再用私钥解密,缺点：,利用公钥加密虽然可避免钥匙共享而带来的问题，但其使用时，需要的计算量较大。,假如X需要传送数据给A，X可将数据用A的公钥加密后再传给A，,11,7.3,防火墙技术,防火墙是一种用来加强网络之间访问控制的特殊网络互连设备，如路由器、网关等。它对两个或多个网络之间传输的数据报和连接方式按照一定的安全策略进行检查，以决定网络之间的通信是否允许。,其中被保护的网络称为内部网络，另一方则称为外部网络或公用网络。,它能有效地控制内部网络和外部网络之间的访问和数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。,7.3 防火墙技术 防火墙是一种用来加强网,12,7.3,防火墙技术,1.什么是防火墙?,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统，,它包括用于网络连接的软件和硬件以及控制访问的方案。用于对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保障。,防火墙是一类防范措施的总称。,这类防范措施简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。它可以在IP层设置屏障，也可以用应用层软件来阻止外来攻击。,7.3 防火墙技术 1.什么是防火墙?防火墙是一,13,防火墙的主要功能如下：,过滤不安全服务和非法用户，禁止未授权的用户访问,受保护网络,。,限定内部网用户访问特殊网络站点，接纳外网对本地公共信息的访问。,具有记录和审计功能，为监视Internet安全提供方便。,防火墙的主要功能如下：,14,影响网络安全的因素很多，对于以下情况防火墙无能为力：,（1）不能防范绕过防火墙的攻击。,（2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。,（3）不能防止数据驱动式攻击。,（4）难以避免来自内部的攻击。,影响网络安全的因素很多，对于以下情况防火墙无能为力：,15,2.,防火墙的三种类型,目前防火墙按照防护原理可以分为三种类型，每类防火墙保护Intranet的方法各不相同。,（1）,包过滤防火墙,（2）应用型防火墙,（3）主机屏蔽防火墙,（4）子网屏蔽防火墙,2.防火墙的三种类型 目前防火墙按照防护原理可以分,16,包过滤防火墙，通常由一部路由器或一部充当路由器的计算机组成。Internet/Intranet上的所有信息都是以IP数据包的形式传输的，两个网络之间的数据传送都要经过防火墙。包过滤路由器对所接收的每个数据包进行审查，以便确定其是否与某一条包过滤规则匹配。,包过滤防火墙是一种基于网络层的安全技术，对于应用层上的黑客行为无能为力。这一类的防火墙产品主要有防火墙路由器、在充当路由器的计算机上运行的防火墙软件等。,（1）包过滤防火墙,包过滤防火墙，通常由一部路由器或一部充当路由器的计算机组成。,17,第7章网络安全课件,18,（2）应用型防火墙,应用型防火墙通常指运行代理（Proxy）服务器软件的一部计算机主机。采用应用级防火墙时，Intranet与Internet间是通过代理服务器连接的，二者不存在直接的物理连接。,通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服务器对该用户进行身份验证检查，决定其是否允许访问Internet,如果通过验证，用户就可以登录到Internet上的远程服务器。同样，从Internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。,代理服务器工作于Internet应用层，因此对不同的Internet应用服务应有相应的代理服务，常见的代理服务器有Web、FTP、Telnet代理等。,（2）应用型防火墙 应用型防火墙通常指运行代理（Pro,19,第7章网络安全课件,20,（3）主机屏蔽防火墙,主机屏蔽防火墙由一个应用型防火墙和一个包过滤路由器组成。,Intranet不能直接通过路由器和Internet相联系，数据报要通过路由器和堡垒主机两道防线。这个系统的第一个安全设施是过滤路由器，对到来的数据报而言，首先要经过包过滤路由器的过滤，过滤后的数据报被转发到堡垒主机上，然后由堡垒主机上应用代理服务程序对这些数据报进行分析，将合法的信息转发到Intranet主机上。外出的数据报首先经过堡垒主机上的应用服务代理检查，然后被转发到包过滤路由器，最后由包过滤路由器转发到外部网络上。,（3）主机屏蔽防火墙 主机屏蔽防火墙由一个应用型防火墙和,21,第7章网络安全课件,22,（3）子网屏蔽防火墙,子网屏蔽防火墙的保护住用比主机屏蔽防火墙更进了一步，它在被保护的Intarnet和Internet之间加了一个由两个包过滤路由器和一台堡垒主机组成的子网。被保护的Intarnet和Internet之间不能直接通信，而是通过各自的路由器和堡垒主机打交道。两台路由器也不能直接交换信息。,防火墙,外部路由器,堡垒主机,内部主机,内部网络,工作站,工作站,工作站,外部网络,周边网络,内部路由器,（3）子网屏蔽防火墙 子网屏蔽防火墙的保护住用比主机屏蔽,23,7.4,网络病毒及防杀,Internet/Intranet的迅速发展和广泛应用给病毒增加了新的传播途径，网络将正逐渐成为病毒的第一传播途径。,Internet/Intranet带来了两种不同的安全威胁：一种威胁来自,文件下载,，这些被浏览的或是通过FTP下载的文件中可能存在病毒；另一种威胁来自,电子邮件,。,7.4 网络病毒及防杀 Internet/I,24,1.病毒定义,计算机病毒,指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,一般地，,我们所讲的病毒包括,特洛伊木马、病毒、细菌和蠕虫等等。,特洛伊木马和病毒,，它们不能脱离某些特定的的应用程序、应用工具或系统而独立存在；而,细菌和蠕虫,是完整的程序，操作系统可以调度和运行它们。而且除特洛伊木马外，其他三种形式的病毒都有能够复制。,1.病毒定义计算机病毒指编制或者在计算机程序中插入的破,25,2.,网络病毒的特点,计算机病毒是一种特殊的危害计算机系统的程序，它能在计算机系统中驻留、繁殖和传播，它具有类似与生物学中的病毒的某些特征：传染性、潜伏性、破坏性、变种性。,计算机病毒特征,（1）传染性,（2）破坏性,（3）潜伏性,（4）隐藏性,（5）针对性,（6）未经授权而执行,2.网络病毒的特点 计算机病毒是一种特殊,26,3.,网络计算机病毒的防治,加强网络安全意识,，对内部网与外界进行的数据交换进行有效的控制和管理，同时坚决抵制盗版软件；,多层防御，,有选择地加载保护计算机网络安全的网络防病毒产品,。,引起网络病毒感染的主要原因在于网络用户自身。因此，防范网络病毒应从两方面着手。,3.网络计算机病毒的防治 加强网络安全意识，对内部,27,4.,防毒、杀毒软件的选择,扫描速度,：一般应选择每30秒钟能够扫描10